设置分布式防火墙规则,以筛选使用完全限定域名或 URL 标识的特定域,例如 *.office365.com

您必须先设置一个 DNS 规则,然后在该规则下面设置 FQDN 允许列表或拒绝列表规则。这是因为 NSX-T Data Center 使用 DNS 侦听获取 IP 地址和 FQDN 之间的映射。应在所有逻辑端口上的交换机中启用 SpoofGuard,以防止发生 DNS 欺骗攻击的风险。当恶意虚拟机可以插入欺骗性的 DNS 响应以将流量重定向到恶意端点或绕过防火墙时,即会出现 DNS 欺骗攻击。有关 SpoofGuard 的详细信息,请参见了解 SpoofGuard 分段配置文件

对 ESXi 主机执行 vMotion 操作期间,会一直保留基于 FQDN 的规则。

注: 支持 ESXi 和 KVM 主机。KVM 主机仅支持 FQDN 允许列表。FQDN 筛选仅适用于 TCP 和 UDP 流量。

前提条件

要使用用户定义的 FQDN,请参见 添加自定义 FQDN

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 导航到安全 > 分布式防火墙
  3. 按照添加分布式防火墙中的步骤添加防火墙策略区域。还可以使用现有的防火墙策略区域。
  4. 选择新的或现有的防火墙策略区域,然后单击添加规则首先创建 DNS 防火墙规则。
  5. 提供防火墙规则的名称,例如 DNS 规则,并提供以下详细信息:
    选项 说明
    服务 单击编辑图标,然后选择适用于您的环境的 DNSDNS-UDP 服务。
    上下文配置文件 单击编辑图标并选择 DNS 上下文配置文件。这是系统生成的上下文配置文件,默认情况下可用于您的部署。
    应用对象 根据需要选择一个组。
    操作 选择允许
  6. 再次单击添加规则以设置 FQDN 允许列表或拒绝列表规则。
  7. 相应地命名规则,例如 FQDN/URL 允许列表。将此规则拖动到此策略区域下的 DNS 规则下。
  8. 提供以下详细信息:
    选项 说明
    服务 单击编辑图标并选择要与此规则关联的服务,例如 HTTP。
    上下文配置文件 依次单击编辑图标和添加上下文配置文件,并为配置文件命名。在“属性”列中,选择设置 > 添加属性 > 域名 (FQDN)。从预定义列表中选择“属性名称/值”的列表,或创建自定义 FQDN。请参见上下文配置文件以了解详细信息。单击添加,然后单击应用
    应用对象 根据需要选择 DFW 或一个组。
    操作 选择允许丢弃拒绝
  9. 单击发布